第31回 ,32回 ,33回 と,ファイル交換ソフトによる個人情報流出問題を取り上げた。
独立行政法人 情報処理推進機構セキュリティセンターでは,「Winnyによる情報漏えいを防止するために− 漏れているのは,官公庁や大企業の情報だけではない − 」と題した緊急対策情報を公開し,中小企業や個人事業者,個人に対しても注意を呼びかけ始めた。予防策自体は難しくないので,早めに手をつけるべきだろう。
ところで,個人情報流出に限らず,企業不祥事が起きると耳にする言葉に,「コンプライアンス」がある。今回は,過去に何度か取り上げた金融業界を事例に,個人情報保護とコンプライアンスの関係について,考えてみたい。
かけ声倒れが続く金融業界のコンプライアンス体制
以前,「施行開始!個人情報保護法(5):今こそ法令順守体制を見直そう 」で説明したことの繰り返しになるが,コンプライアンスとは,「法令や規則を守ること」であり,守るべきルールの1つが個人情報保護法となる。
とりわけ,コンプライアンス体制の整備が求められてきたのが金融業界だ。個人情報は情報管理上,インサイダー情報と並ぶ重点項目となっており,金融庁検査で厳しくチェックされるほか,「金融分野における個人情報の保護に関するガイドライン 」では,個人情報漏えいなど事故発生時の監督当局への報告や外部への公表が規定されている。
このように,他業種に比べると情報管理対策が先行しているはずの金融業界だが,個人情報漏えい事件は後を絶たない。本連載の「個人情報漏えい事件を斬る(1):バックアップの置き場所を忘れたみちのく銀行 」,「個人情報漏えい事件を斬る(12):みちのく銀行は氷山の一角だった----金融業界の実態 」)で紹介したような,個人情報を記録した記憶媒体の紛失事故は,相変わらず起きている。
また,不注意による事故だけではない。みずほ銀行では2006年2月8日,名前,住所,電話番号,生年月日,口座番号を含む顧客の個人情報623件分などを第三者に漏出した業務上横領の疑いで行員が逮捕されるという事件が発覚している(「お客さま情報の外部流出に伴う行員の逮捕について 」参照)。
フィッシング詐欺,スパイウェアなど,金融機関の名前を悪用した手口が増えている状況下,金融業界内部から意図的な個人情報漏えい犯罪が起きたのでは,金融庁や警察の面目が丸つぶれだ。コンプライアンスが維持できなければ,個人情報保護の軸が「過剰反応」寄りに振れることになる。
コンプライアンス強化で変わるSMBの個人情報保護対策
コンプライアンスとは無関係と思っている中堅・中小企業(SMB)が多いかもしれないが,大企業で続く不祥事の余波がSMBの経営に影響を及ぼし始めている。金融庁では,2006年4月より,金融機関だけでなく,外部の業務委託先企業に対しても検査を実施する方針を打ち出した(「「金融機関等から業務の委託を受けた者に対する検査について(案)」の公表について 」参照)。
ことの発端は,銀行,証券会社,証券取引所などで相次いだ金融システムのトラブル防止対策にあるのだが,個人データもシステムでやりとりされる以上,個人情報管理の問題は避けられない。金融業界を得意先とするSMBの場合,元請を介した間接取引であっても,金融庁検査を想定した個人情報保護対策強化が営業政策上の必須条件となる。その上,コンプライアンス強化によるコスト増をどこかで吸収できなければ企業は生き残れない。経営者には頭の痛い問題だ。
同じようなことが不祥事に悩む他業界で起きたとしても,不思議ではない。次回は,通信業界について,コンプライアンスと個人情報保護の関係を考えてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
